本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AMQP 客户端 SSL 配置
Federation 和 shovel 使用 AMQP 在上游和下游代理之间进行通信。默认情况下,在 Amazon MQ for RabbitMQ 中为 AMQP 客户端启用 TLS 对等验证 4。使用此设置,在与上游代理建立连接时,在 Amazon MQ 代理上运行的联合和铲子 AMQP 客户端将执行同行验证。
在亚马逊 MQ 代理上运行的 AMQP 客户端支持与 Mozilla 相同的证书颁发机构。如果您不使用 ACM
重要
Amazon MQ 目前不支持为 AMQP 客户端连接配置客户端证书。因此,联合和 shovel 无法连接到需要客户端证书身份验证的启用 MTLS 的代理。
重要
在亚马逊 MQ for RabbitMQ 上,AMQP 客户端的 SSL 属性配置了 RabbitMQ 默认值(verify_none)。适用于 RabbitMQ 3 的亚马逊 MQ 不支持覆盖这些默认值。
注意
使用默认verify_peer设置,您可以在任意 2 个 Amazon MQ 经纪人之间建立联盟和切断连接,但这不支持在 Amazon MQ 经纪人与使用非 Amazon MQ CA 证书运行的私人经纪人或本地经纪人之间建立连接。要连接私有代理或本地代理,您需要在下游 Amazon MQ 代理上禁用对等验证。
AMQP 客户端 SSL 配置密钥
| 配置 | 配置密钥 | 支持的值 |
|---|---|---|
| AMQP 客户端 SSL 对等验证 | amqp_client.ssl_options.verify |
verify_none, verify_peer |
如何覆盖 AMQP 客户端 SSL 对等验证
您可以在 RabbitMQ 4 代理上使用亚马逊 MQ API 和亚马逊 MQ 控制台覆盖 AMQP 客户端 SSL 对等验证。
以下示例说明如何使用以下方法覆盖 AMQP 客户端 SSL 对等验证: Amazon CLI
aws mq update-configuration --configuration-id <config-id> --data "$(echo "amqp_client.ssl_options.verify=verify_none" | base64 --wrap=0)"
成功调用会创建配置修订版。您必须将配置与您的 RabbitMQ 代理关联并重新启动代理才能应用覆盖。欲了解更多详情,请参阅 Creating and applying broker configurations
重要
使用时verify_none,SSL 加密仍处于活动状态,但未验证对等体的身份。仅在必要时才使用此设置,并确保您信任目标代理的网络路径。